Giới thiệu chung
Công cụ Active Directory Users And Computer dùng để tạo tài khoản người dùng cho vùng. Các máy tính sử dụng tài khoản vùng để đăng nhập gồm hai thành phần:
• User name: tên tài khoản • Password: mật khẩu
Ngoài tài khoản người dùng, Windows 2000 còn cung cấp nhóm (group) để làm đơn giản việc cấp quyền truy cập cho nhiều người dùng.
Các kiểu nhóm
• Nhóm bảo mật (security group): là nhóm có bộ mô tả bảo mật phối hợp. Có thể định nghĩa nhóm bảo mật trong vùng, dựa vào Active Directory Users and Computers
• Nhóm phân phối (distribution group): là nhóm được dùng làm danh sách phân phối e-mail. Có thể thiết lập nhóm phân phối trong vùng thông qua Active Directory User and Computers.
Phạm vi nhóm
Nhóm có nhiều phạm vi khác nhau (tức những khu vực nơi mà chúng hợp lệ), bao gồm: • Nhóm cục bộ vùng (domain local group):Dùng để cấp quyền truy cập trong
phạm vi nội bộ của vùng.
• Nhóm toàn cục (global group):Dùng để cấp quyền truy cập cho đối tượng thuộc vùng bất kỳ trong hệ vùng (domain tree).
• Nhóm tổng thể (universal group):Dùng để cấp quyền truy cập trên hệ vùng hay tập hợp hệ vùng phân cấp (domain forest).
Tạo tài khoản người dùng và nhóm
Tạo tài khoản người dùng
Bước 1:Mở cửa sổ Active Directory Users and Computers
Bước 2:Nhấp chuột phải vào thư mục Users (bên trái), chọn New -> User
Bước 3:Trong cửa sổ New Object – User, nhập thông tin tài khoản.
(Điền thông tin về tài khoản)
Trong cửa sổ hình 109, nhập mật khẩu (password), và các tuỳ chọn khác, sau đó nhấn nút Next.
(Hình 109 )
Thiết lập tài khoản nhóm
Bước 1:Mở cửa sổ Active Directory Users and Computers
Bước 2:Nhấp chuột phải vào thư mục Users (bên trái), chọn New -> Group. Nhập thông tin vào cửa sổ hình 110. Cuối cùng nhấn nút OK để kết thúc việc tạo nhóm.
Kết quả thực hiện
Quản lý tài khoản người dùng và nhóm
Quản lý tài khoản người dùng:
Bước 1:Mở cửa sổ Active Directory Users and Computers
Bước 2:Nhấp chuột phải vào tài khoản người dùng, xuất hiện tùy chọn cho phép thao tác với tài khoản như: Copy, Add members to a group,...Chọn mụcProperties làm xuất hiện cửa sổ Properties như hình 112.
(Hình 112)
Giải thích thêm
Trang General
• First Name, Initials, Last Name: xác định họ tên đầy đủ của người dùng. • Display Name: tên hiển thị của người dùng hiện diện ở phiên đăng nhập hay
trong Active Directory.
• Description: nơi nhập thông tin mô tả về người dùng. • Office: nơi nhập địa chỉ văn phòng làm việc.
• Telephone Number: nơi nhập số điện thoại. • E-mail: nơi nhập địa chỉ Email.
• Web Page: nơi nhập địa chỉ trang web có liên quan. Trang Account
+ User must change password at next logon: thiết lập cho phép người sử dụng tạo mật khẩu riêng của mình ngay lần đầu tiên đăng nhập vùng.
+ User cannot change password: thiết lập không cho người dùng thay đổi mật khẩu. • Password never expries: thiết lập không tạo hạn định cho mật khẩu.
+ Store password using reversible encryption: thiết lập cho phép người dùng hệ thống Macintosh đăng nhập vùng theo tài khoản này.
+ Mục Logon Hours: thiết lập thời gian tài khoản có hiệu lực đăng nhập.
+ Mục Logon on To: cho phép thiết lập danh sách các máy tính có thể sử dụng tài khoản này đăng nhập vào vùng. Mặc định là trên tất cả các máy.
Trang Member Of
• Nút Add: cho phép nhập tài nhập vào các nhóm đã tạo • Nút Remove: cho phép xóa bỏ tài khoản ra khỏi các nhóm.
Quản lý tài khoản nhóm
Bước 1:Mở cửa sổ Active Directory Users and Computers
Bước 2:Nhấp chuột phải vào tài khoản nhóm, xuất hiện tùy chọn cho phép thao tác với tài khoản nhóm.
Bước 3:Chọn mụcProperties và thao tác trên trang Members việc thêm/bớt các thanh viên của nhóm.
Đơn vị tổ chức (Organization Unit)
Giới thiệu
Đơn vị tổ chức (organization unit) được tạo ra để phân cấp việc quản lý tài nguyên vùng. Sau khi cài đặt AD, Windows 2000 đã tạo sẵn những đơn vị tổ chức cơ bản như Builtin, Computers, Domain Controllers, Users, ... ngoài ra người quản trị có thể tự tạo ra các đơn vị tổ chức khác.
Mục đích của việc xây dựng các đơn vị tổ chức là giúp cho người quản trị tối cao có thể phân nhỏ quyền quản trị của mình cho thành viên quản trị khác. Ví dụ muốn trao quyền tạo tài khoản người dùng của nhóm nghiên cứu Multimedia cho trưởng nhóm, người quản trị tối cao của vùng chỉ cần tạo ra một đơn vị tổ chức OU mới và gán quyền quản trị OU cho tài khoản của trưởng nhóm.
Một số đặc điểm để so sánh giữa tài khoản, nhóm và đơn vị tổ chức:
- Chỉ có khái niệm cấp quyền quản trị tài nguyên của mạng như thư mục, máy in,... cho nhóm hay tài khoản người dùng, không có khái niệm cấp quyền quản trị cho đơn vị tổ chức.
- Một tài khoản người dùng của vùng (domain) chỉ ở trong một đơn vị tổ chức (OU) duy nhất nhưng có thể là thành viên của nhiều nhóm (group) khác nhau.
Vùng chứa các đơn vị tổ chức tạo sẵn như Builtin và đơn vị tổ chức tự tạo như P.Marketing
Tạo đơn vị tổ chức
Bước 1: Trong cửa sổActive Directory Users and Computer, nhấp chuột phải vào tên vùng chọn New -> Organizational Unit (hình 119)
(Hình 119)
Trong cửa sổNew Objects – Organizational Unit, nhập tên đơn vị tổ chức là Daotao. Bước 2: Trong cửa sổ hình 120, nhắp phải chuột vào tên đơn vị tổ chức Daotao, chọn mục New. Thực hiện công việc sau:
• Tạo một tài khoản mới • Tạo một nhóm mới
(Hình 120)
Bước 3: Trong cửa sổ hình 121, thực hiện trao quyền quản trị đơn vị tổ chức cho tài khoảntaivu01.
(Hình 121)
Thiết lập quyền quản trị
Nhấn nút Next cho đến khi xuất hiện cửa sổ thông báo kết thúc "Completing the Delegation of Control Wizard".
Thông tin bổ sung
Có thể thực hiện thêm các công việc sau: - New-> Group
- New -> Computer
- New -> Organizational Unit
Bước 4: Thực hiện Logoff và đăng nhập vào máy chủ với tài khoản taivu01. Mở cửa
sổAD Users and Computers và kiểm tra quyền quản trị đã cấp cho tài khoảntaivu01
trên đơn vị tổ chứcDaotao.